s.k.

Hi, Danke für die Rückmeldungen! Es handelt sich leider um einen simplen PC mit einem Backplane für 3 IDE-Platten. 1x System, 1x Daten, 1x Backup. Auf die 3. Platte wird wöchentlich ein Acronis-Image gezogen sowie täglich mit NT-Backup eine Sicherung der Daten und des Systemstate. Damit ist jewährleistet, dass das System immer in einem konsistenten Zustand wiederhergestellt werden kann und kein Datenverlust größer als 1 Arbeitstag auftritt. Zumindest solange der Server nicht komplett abhanden kommt (Brand, Diebstahl). Für diesen Fall werden wir demnächst eine Replikation der Daten zur Zentrale einrichten.Eine Spiegelung wäre zweifelsohne schöner - keine Frage. Mit Softwarespiegelungen hab ich jedoch keine guten Erfahrungen gemacht. Am Standort ist nur ein DC. In der Gesamtstruktur sind es aber einige mehr. Wenn ich den in der Zweigstelle "nichtmaßgeblich" wiederherstelle, sollten seit dem Systemstate durchgeführte Änderungen eigentlich _von_ den laufenden DCs auf den wiederhergestellten DC repliziert werden. Wenn jetzt keiner mehr "Halt!" ruft, werde ich wohl diesen Weg gehen. Dürfte eigentlich keine Probleme machen, solange man mit der alten Platte zwischendurch nicht nocheinmal hochfährt und gerade dann eine Replikation stattfindet. Dann werf ich jetzt mal die User raus... ;) Gruß Steffen EDIT: So hat alles funktioniert. Nach dem Hochfahren mit der neuen Platte gab es noch einen Fehler im Event-Log (NtFrs/13559). Einfach den Anweisungen gefolgt und gut. Das Warten auf die erfolgreiche Replikation kostet allerdings ganz schön Nerven... :D

Hallo, habe hier eine 2k3-Domäne mit mehreren Standorten. An einem Standort traten übers Wochenende Lesefehler auf der Systemplatte des DCs auf. Dies führte sogar zum Anhalten von elementaren Systemdiensten und damit zur Nichtverfügbarkeit des Servers. Die Platte wurde bereits mit chkdsk überprüft - es wurden nur keinere Inkonsistenzen aber keine Medienfehler gefunden. Seit dem Neustart läuft der Server auch problemlos. Dennoch würde ich gern die Festplatte mit der System- und Startpartition austauschen (kein Raid). Ich sehe hierfür 2 Möglichkeiten: 1) Server sauber runterfahren, Platteninhalt "offline" auf die neue Platte imagen, Rechner mit der neuen Platte wieder hochfahren 2) neue Platte mit einem ca. 2 Wochen alten Acronis-Image bespielen. Rechner im AD-Wiederherstellungsmodus starten und den Systemstate vom Freitag wieder einspielen (unauthorisiert). Was würdet Ihr empfehlen? Methode 1 sollte doch eigentlich keine Probleme bereiten, oder? Gruß Steffen (EDIT: Tippfehler korrigiert)

Als kommerzielle Lösung käme z.B. MasterEye in Frage. Eine kostenlose Alternative wäre das gute alte VNC mit dem Parameter "/shared". Siehe VNC im schulischen Einsatz Gruß Steffen

Hi, der Domainteil des MX-FQDN muss nicht identisch mit der Maildomain sein. Gruß Steffen

Genau um das zu evaluieren, sollst Du ja mit Knoppix testen! :rolleyes: Im Übrigen tippe ich auf auf die gelbe Pest. Hab da keine guten Erfahrungen mit.

Du wolltest Doch mit Knoppix testen...

Guten Morgen, sieht doch soweit alles ganz gut aus! Versuche jetzt noch ein "telnet web.de 80". Wenn damit eine Verbindung möglich ist (blinkender Cursor auf schwarzem Grund), dann dürfte es an den Browsereinstellungen liegen. Möglicherweise ist im Browser ein Proxyserver eingetragen, der nicht erreichbar ist. Dass dennoch ein Zugriff auf die Webgui des Routers möglich ist, wäre über einen Ausschluss des lokalen Netzes von der Proxynutzung erklärlich. Gruß Steffen

Setze bitte folgende Befehle an der Eingabeaufforderung ab und poste das jeweilige Ergebnis: - "route print" - "nslookup web.de" - "ping 217.72.195.42" Gruß Steffen P.S. bin jetzt offline für heute

Liefer doch mal etwas mehr "handfeste" Infos, sonst raten wir hier ewig! - genereller Netzwerkaufbau - IP-Adressen und Subnetzmasken der beteiligten Geräte (Client und Router) - DNS- und Gatewayeinstellungen am Client - Routingtabelle des Clients - Kannst Du extene Namen auflösen? - Was sagt ein Traceroute auf eine externe IP-Adresse? Gruß Steffen

- Standardgateway am Client korrekt eingetragen? - DNS-Server am Client korrekt eingetragen? - Gibt es Access-Listen auf dem Router, die das "Surfen" verhindern? Gruß Steffen

Guten Morgen, mit Procurve-Switches kenn ich mich nicht aus. Die grundsätzliche Vorgehensweise sollte aber immer gleich sein. Zunächst würde ich den Kopierer in ein separates IP-Subnetz stellen und hierfür ein eigenes statisches (portbasiertes) VLAN konfigurieren. Dann erhält der Switch für jedes VLAN/IP-Subnet eine IP-Adresse, die in dem jeweiligen IP-Subnetz liegt und dem jeweiligen VLAN zugeordnet wird. Anschließend muss dem Switch noch mitgeteilt werden, dass er zwischen den VLANs forwarden soll - Inter-VLAN-Routing also. K.A. wie das auf dem Procurve heisst. Was von wo nach wo zulässig ist, kann man meist über Access-Listen steuern. Abschließend muss dafür gesorgt werden, dass die Clients auf Layer 3 die Route zum Kopierer und der Kopierer die Route zurück kennt. Beim Kopierer ist das noch einfach. Dort wird als Standardgateway die IP-Adresse eingetragen, die der Switch in diesem VLAN hat. Bei den Clients könnte man es genauso machen, wenn die Clients noch kein Standardgateway haben, was aber unwahrscheinlich ist. Stattdessen setzt man auf dem jeweiligen Standardgateway entweder eine statische Route zum Netz des Kopierers (Next Hop ist die Switch-IP im jeweiligen Netz) oder aber man konfiguriert auf dem Switch und den jeweiligen Standardgateways ein Routingprotokoll wie OSPF oder RIP, damit sich diese über die ihnen bekannten Routen austauschen. Gruß Steffen

Hallo, Nichteinmal _innerhalb_ dieser Netze? Das stellt den Sinn eines Netzwerkes doch ziemlich in Frage, oder? ;) Die Möglichkeiten des Kopierers musst Du selber kennen. Was das Routing angeht, sollte das kein Problem sein. Brauchst halt einen Router, der mit einem Bein in jedem dieser Netze steht und die Routen müssen bekanntgemacht werden. Wieviele Netze sind das denn?Möglicherweise habt Ihr ja bereits einen Layer3-Switch, der diese Aufgabe (zusätzlich) übernehmen kann. Für konkretere Aussagen z.B. über Routingeinträge oder die Verwendung von Routingprotokollen bräuchte man weitere Infos, z.B. ob sich in den Netzen bereits andere Router (ggf. zur Internetanbindung) befinden, wer das Standardgateway ist usw. Gruß Steffen

Wie kommen denn derzeit die Clients aus dem Netz 192.168.25.0/24 (LAN Standort 2) ins Internet? Ich gehe momentan davon aus, dass auf den Clients die 192.168.25.20 als Standardgateway eingetragen sowie auf dem SBS Routing&RAS aktiv und für NAT konfiguriert ist. Mangels Erwähnung Deinerseits nehme ich weiterhin an, dass auf dem SBS weder ein ISA-Server noch eine Firewall oder ein Proxy eines anderen Herstellers laufen. Sind diese Annahmen soweit richtig? Wenn ja schlage ich vor, NAT auf dem SBS zu deaktivieren, damit er zwischen den beiden NICs lediglich stumpf weiterroutet. Hierzu rufst Du in der R&R-Console unter IP-Routing-->NAT/Basisfirewall die Eigenschaften der NIC mit der IP-Adresse 192.168.24.10 (WAN) auf und nimmst den Haken bei "NAT auf dieser Schnittstelle aktivieren" heraus. Dann klickst Du noch mit der rechten Maustaste in der Consolenstruktur auf den Servernamen und rufst auch hier die Eigenschaften auf. Auf der Registerkarte "Allgemein" muss m.E. der Haken vor "Router" gesetzt sein. Ebenso vor "IP-Routing aktivieren" auf der Registerkarte "IP". Des Weiteren muss auf dem Router am Standort 2 eine statische Route gesetzt werden, damit er weiss, dass der "next hop" für das Netz 192.168.25.0/24 der SBS ist. Siehe meine erste Antwort Punkt 2. Alternativ könnten sich der Router und der SBS auch (wenn möglich) über ein Routingprotokoll wie RIP oder OSPF über ihre Routen informieren - das erscheint mir hier aber "oversized". Auf dem SBS und am Standort 1 müssen keine Routen gesetzt werden, weil die Nullrouten (hoffentlich) auf die jeweiligen Router zeigen und die Remotenetze damit ebenfalls "erschlagen" werden. Die Router wissen aufgrund ihrer VPN-Policys, dass sie Pakete an die jeweiligen Remotenetze durch den Tunnel zu schieben haben. Gruß Steffen

Hallo Fly_ger, 1. ändere die VPN-Policys auf den Routern folgendermaßen: Router Standort 1: Remote-IP=Range 192.168.24.0-192.168.25.255 Router Standort 2: Local IP=Range 192.168.24.0-192.168.25.255 2. setze auf dem Router an Standort 2 eine statische Route: 192.168.25.0 / 255.255.255.0 über 192.168.24.10 3. konfiguriere auf dem SBS den Routing&RAS-Service so, dass er zwischen den beiden NICs/Netzen routet.

@dvbuddy: Schau doch einfach in den Header der meist beigefügten Ursprungsmails. Da sieht man, welchen Weg die Mail genommen hat und vorallem, von welcher IP-Adresse aus sie versendet wurde. Dass Eure Domain als Absenderadresse verwendet wurde, ist _keinerlei_ Indiz dafür, dass die Mail von Euren Systemen kam. Gruß Steffen

Der Client bekommt neben dem DNS-Server des SBS auch den des Providers zugewiesen. Würde ich nicht machen, sondern nur den SBS-DNS zuweisen! Der Client benutzt leider den DNS-Server des Providers. Fragt sich nur weshalb? Weil der interne nicht schnell genug geantwortet hat? Verwendet Windows die DNS-Server vielleicht nicht der Reihe nach? Sind DNS-Anfragen durch den Tunnel überhaupt erlaubt? Seit ZyNOS 4.01 kann man den Tunnel per Firewall beregeln... Probiere mal folgendes am Client: nslookup >server 192.168.1.3 >sbsbu Gruß Steffen

Hallo, Ja, schrieb er doch. :wink2: Keine Frage - das ist der Fehler. @ottifant: Konfiguriere die Zywall so, dass der DNS-Server des SBS an den DHCP-Client übergeben wird. Siehe: http://www.zyxeltech.de/previews/zw2plus400xu0/DNS_LAN.html Gruß Steffen

Es sind sogar 5 Tunnel. Wobei das Thema VPN bei den auf ZyNOS basierenden Zywalls (P1 bis 70; in der 1050 steckt Linux) mit Vorsicht zu genießen ist: Alles ganz easy in reinen Hub-and-Spoke- oder Peer-to-Peer-Konfigurationen. Aber wehe, Du willst ein Routing über komplexere Strukturen implementieren, dann wird es unhandlich bis unadministrierbar, teilweise gar unmöglich zu realisieren. Auch die Kompatibilität mit IPSec-Gateways anderer Hersteller hält sich in Grenzen. Als Backup-Lösung für die hier genannten (sehr geringen) Anforderungen wäre die ZW2+ aber auch meine Empfehlung. Wobei mir folgender Passus nicht ganz klar ist: Wenn damit Layer7-Filtering gemeint ist, dann ist die ZW2+ wohl weniger geeignet. Den Bedarf dafür sehe ich bei einer reinen Notlösung aber nicht. @mcdaniels: Solltest Du Dich für die ZW2+ entscheiden, dann wundere Dich nicht, dass die von il_principe "beworbenen" Features nicht da sind. Die wurden erst mit der Firmware v4.01(XU.0) nachgereicht, welche erst vor kurzem erschienen ist - die ist auf den derzeit käuflichen Geräten mit Sicherheit noch nicht drauf. Also als erstes ein Update machen. Die Firmware gibts bei Zyxel immer frei zum Download. Für mich ein wichtiges Kaufkriterium. Alternativ bringe ich hiermit mal M0n0wall ins Spiel... :cool: Gruß Steffen

Kann ich problemlos runterladen (getestet: 21:40 und 21:48). Gruß Steffen

Hallo coly, Du kannst das Problem dadurch lösen, dass Du die Zone mycompany.at nicht auf dem SBS pflegst, sondern im DNS-Server eine Weiterleitung auf einen lokalen DNS-Proxy einrichtest, auf dem man einzelne Hosts (nämlich nur die internen) einpflegen kann - der im übrigen aber widerum nach extern weiterleitet. Hierfür ist beispielsweise der Janaserver geeignet. Siehe >>hier<<. Wenn Jana bzw. der benutzte DNS-Proxy auf der gleichen Maschine laufen soll, wie der MS DNS-Server, dann musst Du entweder den DNS-Proxy auf einen anderen Port legen (was voraussetzt, dass Du dem MS-DNS-Server bei der Weiterleitung den Zielport mitgeben kannst) oder den DNS-Proxy und den MS DNS-Server an unterschiedliche IP-Adressen binden (z.B. DNS-Proxy auschließlich an localhost oder ein Loopbackinterface und den MS DNS an die IP der internen NIC). Gruß Steffen

Hallo crawler, Was ist daran denn so problematisch, wenn man vom Hostsystem aus direkt auf den Webserver zugreifen kann? Wichtiger ist es doch, Zugriffe aus der VM auf das Hostsystem und ggf. auf hiermit verbundene Netze zu unterbinden (hier immerhin das Produktivnetz!). Die von Dir gewählte Konfiguration ist m.E. nicht ratsam. Das Hostsystem sollte ausschließlich die Aufgabe haben, die VMs zu hosten und isoliert vom LAN in einer echten DMZ stehen. Gruß Steffen

Data Collection mit Windows Server R2 Siehe Technet - Designing Distributed File Systems Gruß Steffen

:shock: Wäre mir neu, dass man mehrere Rechner mit gleichen Namen in die selbe AD-Domäne aufnehmen kann. Zumal die SID nach Betankung mit einem Image ohnehin geändert werden muss (Sysprep, Ghostwalk, NewSID etc.) - da lässt man halt den Namen gleich "in einem Rutsch" mitändern... Gruß Steffen

Für Phantasie ist bei uns (leider) kein Platz: Hostname der Clients = "PC"+fortlaufende numerische Inventarnummer Alles andere ist ab einer gewissen Clientanzahl ohnehin nicht mehr zu handhaben. Anhand der Inventarnummer bekommt man mit 3 Klicks alle benötigten Infos aus der Inventardatenbank. Eine Ausnahme hiervon bilden Schulungs-/Unterrichtsräume. In deren Hostnamen sind Raum- und Platznummer codiert. Ein Zugeständnis an die Dozenten. Server sind ebenfalls nur duchnummeriert: SRV01, SRV02 usw. Durchbrechungen sind historisch gewachsen (mussten aus Kompatibilitätsgründen mitmigriert werden). Gruß Steffen

Wir haben die Ursache gefunden: Es lag an einem Zusatztool zur PC-Wächter-Karte namens "Lehrerkonsole". Nach Deinstallation der Software (Version 4.2.211) und Installation der aktuellsten Version (4.2.222) war die Fehlermeldung weg. Gruß Steffen